5 ส่วนขยาย Chrome อันตรายปลอมตัวเป็น Workday และ NetSuite เพื่อขโมยบัญชีองค์กร

สวัสดีครับทุกคนที่กำลังระวังภัยไซเบอร์! ในเดือนมกราคม ค.ศ. 2026 นี้ นักวิจัยด้านความปลอดภัยได้ค้นพบ ส่วนขยาย Chrome อันตรายถึง 5 ตัว ที่ปลอมตัวเป็นเครื่องมือช่วยงาน HR และ ERP ยอดนิยมอย่าง Workday, NetSuite และ SuccessFactors เพื่อขโมยข้อมูลล็อกอินและควบคุมบัญชีผู้ใช้

ซึ่งเหมาะมากสำหรับกลุ่มเป้าหมายอย่าง IT admin, ผู้จัดการองค์กร และพนักงานในธุรกิจไทย ที่ใช้ระบบเหล่านี้ เช่น บริษัทขนาดกลางที่จัดการข้อมูลพนักงานออนไลน์ บทความนี้จะเล่าให้ฟังแบบเข้าใจง่าย เน้นข้อมูลอัปเดตปี ค.ศ. 2026 พร้อมเคล็ดลับป้องกันที่แตกต่างจากข่าวทั่วไป โดยเพิ่มมุมมองสำหรับองค์กรไทยที่อาจเสี่ยงจาก remote work

ส่วนขยายอันตรายเหล่านี้คืออะไร และทำไมถึงน่ากลัว?

ส่วนขยายเหล่านี้ถูกออกแบบมาให้ดูเหมือนเครื่องมือช่วยเพิ่ม productivity แต่จริง ๆ แล้วเป็นเครื่องมือขโมยข้อมูล มีการติดตั้งรวมกว่า 2,379 ครั้ง ก่อนถูกถอดออกจาก Chrome Web Store (ยกเว้นตัวหนึ่งที่ยังหลงเหลือ) พวกมันทำงานร่วมกันเพื่อ ขโมย cookies, บล็อกหน้าจัดการความปลอดภัย และเปิดทางให้แฮกเกอร์เข้ายึดบัญชีแบบเต็มรูปแบบ (session hijacking) โดยส่งข้อมูลไปยังเซิร์ฟเวอร์ของผู้โจมตีอย่าง api.databycloud[.]com หรือ api.software-access[.]com ทุก 60 วินาที

ชื่อและรายละเอียดส่วนขยาย (จากนักวิจัย Socket และข้อมูลล่าสุดมกราคม ค.ศ. 2026):

  • DataByCloud Access (ID: oldhjammhkghhahhhdcifmmlefibciph) – ขโมย cookies และขอสิทธิ์จัดการข้อมูล Workday/NetSuite

  • Tool Access 11 (ID: ijapakghdgckgblfgjobhcfglebbkebf) – บล็อกหน้าจัดการความปลอดภัย 44 หน้า เช่น การตั้งค่า IP และเซสชัน

  • DataByCloud 1 (ID: mbjjeombjeklkbndcjgmfcdhfbjngcam) – ขโมย cookies และป้องกันการตรวจสอบโค้ดด้วย DisableDevtool

  • DataByCloud 2 (ID: makdmacamkifdldldlelollkkjnoiedg) – บล็อกหน้าจัดการ 56 หน้า รวมถึงเปลี่ยนรหัสผ่านและ 2FA

  • Software Access (ID: bmodapcihjhklpogdpblefpepjolaoij) – ขโมยและฉีด cookies เพื่อ hijack session โดยตรง

ส่วนขยายเหล่านี้ถูกเผยแพร่โดยสอง publisher แต่มีโครงสร้างโค้ดและเซิร์ฟเวอร์เหมือนกัน แสดงว่าเป็นแคมเปญเดียวกันที่โจมตีองค์กรขนาดกลาง-ใหญ่

วิธีการทำงานของ Malicious Chrome Extensions เหล่านี้

ส่วนขยายจะขอสิทธิ์เข้าถึง cookies, scripting และ storage ในโดเมนเป้าหมายอย่าง workday.com หรือ netsuite.com เมื่อติดตั้งแล้ว มันจะ:

  1. ขโมย cookies เพื่อส่งให้แฮกเกอร์ใช้ล็อกอินแทนคุณ

  2. ใช้ DOM manipulation เพื่อบล็อกหน้าจัดการความปลอดภัย ทำให้ IT admin ไม่สามารถแก้ไขปัญหาได้ เช่น ลบอุปกรณ์ 2FA หรือตรวจล็อก

  3. ใน Software Access ยังรองรับการฉีด cookies กลับเข้าเบราว์เซอร์เพื่อยึดเซสชันแบบเรียลไทม์

นอกจากนี้ ทุกตัวยังตรวจจับส่วนขยายความปลอดภัย 23 ตัว เช่น EditThisCookie หรือ ModHeader เพื่อแจ้งเตือนแฮกเกอร์หากคุณมีเครื่องมือตรวจสอบ ซึ่งช่วยให้การโจมตีซ่อนตัวได้นานขึ้น สำหรับองค์กรไทยที่ใช้ Workday หรือ NetSuite ในการจัดการ HR/ERP ความเสี่ยงสูงเพราะอาจนำไปสู่ข้อมูลรั่วไหลหรือ ransomware โดยเฉพาะใน remote work ที่พนักงานติดตั้งส่วนขยายเอง

ความเสี่ยงและผลกระทบจาก Credential Stealing Extensions

การโจมตีแบบนี้ทำให้แฮกเกอร์เข้าถึงข้อมูล sensitive เช่น ข้อมูลพนักงานหรือการเงิน โดยไม่ต้องรู้รหัสผ่าน ผลกระทบคือ:

  • ตรวจพบแต่แก้ไม่ได้ เพราะบล็อกหน้าจัดการ

  • เสี่ยงข้อมูลรั่วไหลในองค์กรใหญ่ ซึ่งอาจละเมิด PDPA ในไทย

  • ในปี ค.ศ. 2026 แคมเปญแบบนี้เพิ่มขึ้น 20% จากปีก่อน ตามรายงานจาก Cybersecurity Ventures เนื่องจาก Chrome มีผู้ใช้กว่า 3 พันล้านคน

วิธีป้องกัน Malicious Workday Extension และภัยคล้ายกัน

สำหรับผู้ใช้ไทย แนะนำตรวจสอบและลบส่วนขยายทันที หากติดตั้งแล้วให้รีเซ็ตรหัสผ่าน เปิด 2FA และตรวจล็อกอินจาก IP แปลก ๆ ในองค์กร ใช้ policy เพื่อจำกัดส่วนขยายจาก Chrome Web Store เท่านั้น และติดตั้ง antivirus ที่ตรวจจับ malware ในเบราว์เซอร์

เคล็ดลับเพิ่มเติม: ใช้ส่วนขยายอย่าง uBlock Origin เพื่อบล็อกสคริปต์อันตราย และอัปเดต Chrome เป็นเวอร์ชันล่าสุดที่เพิ่มการป้องกัน session hijacking

คำถามที่พบบ่อยเกี่ยวกับ Malicious Chrome Extensions 2026

  • Malicious Chrome Extensions เหล่านี้ปลอมตัวยังไง? ปลอมเป็นเครื่องมือช่วย Workday/NetSuite เพื่อหลอกให้ติดตั้ง

  • Session hijacking Chrome เกิดจากอะไร? จากการขโมยและฉีด cookies เพื่อยึดบัญชี

  • Credential stealing extensions เสี่ยงอะไร? ข้อมูลรั่วไหลและไม่สามารถแก้ปัญหาได้เพราะบล็อกหน้า admin

  • ป้องกัน malicious Workday extension ยังไง? ลบส่วนขยาย รีเซ็ตรหัส และใช้ antivirus

  • Chrome extension security 2026 สำหรับองค์กรไทยคืออะไร? ใช้ policy จำกัดและตรวจสอบล็อกอินสม่ำเสมอ

ภัยจาก malicious Chrome extensions กำลังเพิ่มขึ้น ถ้าคุณเป็น IT admin หรือเจ้าขององค์กร สมัครรับข่าวสาร เพื่ออัปเดตเทรนด์ Chrome extension security ใหม่ ๆ แชร์บทความนี้ ให้เพื่อนพนักงานของคุณ หรือ แสดงความคิดเห็นด้านล่าง ว่าคุณเคยเจอส่วนขยายอันตรายแบบนี้ไหม – เรายินดีช่วยตอบ!

🛡️ ปกป้องธุรกิจของคุณให้ปลอดภัยด้วยบริการจาก BLOG TTT-WEBSITE

หากคุณกำลังมองหาบริการระดับมืออาชีพเพื่อความปลอดภัยและประสิทธิภาพของธุรกิจ BLOG.TTT-WEBSITE พร้อมดูแลคุณด้วยโซลูชันที่ครบวงจร:

  • 🛡️ บริการด้านความปลอดภัย (Security):

    • บริการด้านความปลอดภัยไซเบอร์ จัดการไวรัส สแปม

    • บริการดูแลเว็บไซต์ (Website Maintenance)

  • 🌐 บริการด้านเว็บไซต์ (Web Services):

    • รับทำเว็บไซต์ | บริการออกแบบเว็บไซต์ มืออาชีพ

    • รับทำเว็บไซต์ธุรกิจ องค์กร บริษัท

    • รับทําเว็บไซต์ WordPress, Elementor Pro, WooCommerce, Wix

  • ⚙️ บริการด้านระบบและโครงสร้างพื้นฐาน (Systems & Infrastructure):

    • รับพัฒนระบบ และ รับออกแบบเว็บไซต์

    • รับจัดการฐานข้อมูล (Database Management)

    • บริการคลาวด์เซิร์ฟเวอร์ (Cloud Server) และ บริการติดตั้ง LINUX Cloud Server

  • 📈 บริการด้านการตลาดและเนื้อหา (Marketing & Content):

    • บริการรับทำ SEO & AEO AI Search

    • บริการบทความเนื้อหาเว็บไซต์

👉 เข้าไปที่ [BLOG.TTT-WEBSITE] เลยครับ! เราพร้อมให้บริการ Keywords แคมเปญ BLOG.TTT ครบวงจรเพื่อธุรกิจของคุณ 🚀